Контроль действий пользователей: этика и технические аспекты

Виктор Ивановский
администратор безопасности компьютерных сетей управления безопасности компании "Северо-Западный телеком", MCTS, MS С А, МСТ

Основная угроза компаниям сейчас исходит изнутри. При этом сотрудники неадекватно реагируют в случае работы под контролем и симметрично реагируют на наблюдение: "Вот вы как! Ну как вы ко мне, так и я к вам". Задача служб безопасности во многом заключается в том, чтобы развернуть в компании "прозрачную" систему контроля, которая бы не формировала у сотрудников негативной реакции, не создавала неудобств и в то же время была эффективной. Решаться эта задача должна на трех уровнях - техническом, организационном и психологическом. Излишне уделяя приоритетное внимание какой-либо из компонент, мы создаем дисбаланс и теряем в эффективности решения, что так или иначе только ухудшает обстановку среди персонала.

Одна из основных задач служб безопасности -защита информационных ресурсов с ограниченным доступом от внешнего и внутреннего нарушителя (злоумышленника). В настоящее время приоритет угрозы постепенно перемещается из-за периметра во внутреннюю защищаемую (контролируемую) зону.

Большинство известных инцидентов, связанных с хищением или утечкой информации, произошли по вине или, по крайней мере, были связаны с непосредственными сотрудниками пострадавших компаний.

У сотрудников могут быть различные причины навредить компании: личная обида, отсутствие удовлетворения от работы. Кроме того, они могут стать жертвами атаки с использованием социальной инженерии или попросту пропустить критически важное действие (не защитить отправляемое сообщение электронной почты или забыть носитель с криптографическими ключами на рабочем месте). Так или иначе, человек внутри - инсайдер - самый эффективный инструмент для атаки организаций и бизнеса любого масштаба.

Соглашения о неразглашении коммерческой или служебной тайны

Если мы опасаемся проникновения на объект защиты снаружи, то ставим ограждение периметра и систему регистрации проникновения (контроля доступа). Если существует вероятность (риск) хищения ценностей (материальных или информационных ресурсов) или саботажа на производстве, устанавливаем видеокамеры в ключевых (контрольных) точках на угрозо-возможных направлениях. Как только появляется вероятность в угрозе изнутри, исходящей от сотрудника (или сотрудников), мы начинаем внимательно присматриваться к этому сотруднику.

Не секрет, что во многих компаниях сотрудники добровольно подписывают дополнительные соглашения к трудовым договорам, касающиеся осведомленности об ответственности (административной или уголовной) за разглашение коммерческой или служебной тайны. Зачастую в бумагах такого рода упоминается и то, что за действиями сотрудника будет вестись контроль службой безопасности.

Как минимум это означает, что на рабочем месте сотрудника будет установлена программа учета рабочего времени, которая станет фиксировать время начала, окончания работы и то, какими программами и в течение какого времени пользовался сотрудник. Если сотрудник осведомлен, что за ним производится наблюдение, то он никогда не будет заниматься на автоматизированном рабочем месте (АРМ) неразрешенной деятельностью и не пойдет на противоправное действие. Кроме того, благодаря применению систем контроля возрастает на 20-50% эффективность работы компании. У сотрудников не возникает желания заниматься неслужебными делами на рабочем месте, и они уделяют гораздо больше времени своим непосредственным обязанностям.

Реакция сотрудников

Отдельный вопрос: как сами сотрудники отнесутся к тому, что их будут контролировать? С этической стороны вопрос очень щепетильный. Реакция сотрудников чаще всего резко негативная. Никому не понравится, если его причислят к злоумышленникам (нарушителям), будут просматривать его

корреспонденцию, наблюдать за каждым его шагом. Мало того, некоторые действия службы безопасности в отношении сотрудников могут быть классифицированы как незаконные. Например, согласно ст. 137, 138 УК РФ, за несанкционированный просмотр личной электронной почты в России предусмотрена уголовная ответственность. Правда, откровенно говоря, корпоративная электронная почта представляет собой такой же инструмент ведения бизнеса, как служебный автомобиль или служебный компьютер. Работодатель вправе удостовериться, что его собственность используется по назначению и без нарушений. А сторонние почтовые клиенты и использование личного ящика электронной почты в компаниях, как правило, запрещаются.

Документальное обоснование необходимости контроля

Помочь выйти из ситуации поможет документальное обоснование необходимости контроля. Большинство экспертов и специалистов по защите информации в своих оценках склоняются к тому, что контроль сотрудника на его рабочем месте легитимен и оправдан. Единственное, о чем не стоит забывать при его реализации, так это о необходимости указания в "Правилах внутреннего распорядка" или "Регламенте работы с информационными системами компании" организации и порядка контроля. Должно быть однозначно регламентировано, что именно будет контролироваться службой безопасности (например, активность пользователя на рабочем месте, список посещаемых Интернет-сайтов, содержание телефонных звонков, корпоративной электронной почты).

Кроме того, следует организационно и технически ограничить круг лиц, которые будут иметь доступ к самой системе контроля деятельности сотрудников и к ее протоколам. Лучше всего, если для этих целей будет издан отдельный приказ и регламент работы службы безопасности.

Формула идеальной системы контроля

Если обратиться к технической стороне дела и разложить на составляющие все вышесказанное, то в итоге родится формула идеальной системы контроля - максимальная распространенность, тотальность, наличие возможности мониторинга (отслеживания) действий в реальном времени. В идеале среди этих компонент должна еще присутствовать возможность системы реагировать на действия сотрудника и предпринимать возможные превентивные меры сразу же при возникновении угрозы несанкционированного доступа к защищаемым ресурсам. К сожалению, на данный  момент  реализовать подобный сценарий практически невозможно, в основном из-за гипотетической нагрузки на подсистему анализа, а также из-за необходимости обрабатывать потоки данных с десятков и сотен рабочих станций, поступающих в реальном времени. Пока самое эффективное решение - сотрудник службы безопасности, имеющий возможность осуществлять текущий контроль действий конкретного пользователя, и подсистема мониторинга, сбора и хранения протоколов действий, аудита (анализа) для последующего "разбора полетов".

Контроль в реальном времени

Масштабность применения системы может достигаться с помощью инструмента разворачивания программного обеспечения групповых политик Active Directory. При соответствующей настройке достигается ситуация, когда каждая новая появляющаяся в домене рабочая станция (АРМ) автоматически оснащается клиентом (агентом) системы контроля.

Под тотальностью понимается возможность протоколирования максимального количества событий на АРМ. Необязательно задействовать все механизмы контроля, важно в нужный момент взвести триггер и начать фиксировать любые действия конкретного сотрудника.

Контроль в реальном времени подразумевает возможность подключиться к рабочему столу и отслеживать активность конкретного сотрудника. С точки зрения этики сотрудник должен быть уведомлен о том, что его компьютер сейчас находится под контролем службы безопасности (все действия отслеживаются). Тем не менее некоторые из существующих программных комплексов позволяют отключать функцию предупреждения. Иногда при проведении контрольных проверок на лояльность эта возможность становится крайне необходимой.